ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
خدمات شبكات الحاويات المتقدمة هي مجموعة من الخدمات المصممة لتعزيز قدرات الشبكات لمجموعات Azure Kubernetes Service (AKS). تعالج المجموعة التحديات في التطبيقات الحديثة المعبأة في حاويات، مثل إمكانية المراقبة والأمان والتوافق.
مع خدمات شبكات الحاويات المتقدمة، ينصب التركيز على تقديم تجربة سلسة ومتكاملة تمكنك من الحفاظ على مواقف أمنية قوية واكتساب رؤى عميقة حول نسبة استخدام الشبكة وأداء التطبيق. وهذا يضمن أن تطبيقاتك المعبأة في حاويات ليست آمنة فقط ولكن أيضا تحقق أهداف الأداء والموثوقية أو تتجاوزها، ما يسمح لك بإدارة البنية الأساسية وتوسيع نطاقها بثقة.
ما الذي يتم تضمينه في خدمات شبكات الحاويات المتقدمة؟
تحتوي خدمات شبكات الحاويات المتقدمة على ميزات مقسمة إلى عمودين:
إمكانية الملاحظة: الميزة الافتتاحية مجموعةة خدمات شبكات الحاويات المتقدمة التي تجلب قوة وحدة التحكم في Hubble إلى كل من مستويات بيانات Cilium وغير Cilium Linux. تهدف هذه الميزات إلى توفير رؤية للشبكات والأداء.
الأمان: بالنسبة للمجموعات التي تستخدم Azure CNI المشغل بواسطة Cilium، تتضمن نهج الشبكة تصفية اسم المجال المؤهل بالكامل (FQDN) لمعالجة تعقيدات الحفاظ على التكوين.
مراقبة شبكة الحاوية
تعد إمكانية مراقبة شبكة الحاوية في خدمة Azure Kubernetes (AKS) ميزة شاملة تم تعيينها داخل خدمات شبكات الحاويات المتقدمة، مصممة لتوفير رؤى عميقة حول نسبة استخدام الشبكة والأداء عبر البيئات المعبأة في حاويات. يعمل بسلاسة عبر كل من مستويات بيانات Cilium وغير Cilium، ما يوفر مرونة لتلبية احتياجات الشبكات المتنوعة. الاستفادة من eBPF، تعزز هذه الميزة قابلية التوسع والأداء من خلال تحديد الاختناقات المحتملة وازدحام الشبكة قبل التأثير على التطبيقات.
تتضمن الفوائد الرئيسية التوافق مع جميع متغيرات Azure CNI، والرؤية التفصيلية للمقاييس على مستوى العقدة، ومقاييس Hubble لتحليل DNS، والاتصال من الجراب إلى الجراب، وتفاعلات الخدمة. تسجل سجلات شبكة الحاوية بيانات التعريف الأساسية مثل عناوين IP والمنافذ وتدفق نسبة استخدام الشبكة، ما يتيح استكشاف الأخطاء وإصلاحها والمراقبة وإنفاذ الأمان.
بالإضافة إلى ذلك، فإنه يتكامل مع Azure Managed Prometheus وGrafana لتخزين المقاييس المبسطة والتصور. سواء كنت تستخدم الخدمات المدارة أو البنية الأساسية التي يتحكم فيها المستخدم، يضمن حل إمكانية المراقبة هذا بيئة شبكة عالية الأداء وآمنة ومتوافقة لأحمال عمل AKS.
مقاييس شبكة الحاوية
تجمع هذه الميزة مقاييس على مستوى العقدة، بما في ذلك وحدة المعالجة المركزية والذاكرة وأداء الشبكة، لمراقبة صحة عقد نظام المجموعة. للحصول على رؤى أعمق، توفر مقاييس Hubble بيانات حول أوقات دقة DNS، والاتصال من خدمة إلى خدمة، وسلوك الشبكة على مستوى الجراب. تمكن هذه المقاييس المستخدمين من تحليل أداء التطبيق، واكتشاف الحالات الشاذة، وتحسين أحمال العمل.
لمعرفة المزيد، راجع وثائق Metrics Overview .
سجلات شبكة الحاوية
توفر سجلات شبكة الحاوية رؤى مفصلة حول نسبة استخدام الشبكة داخل المجموعات وعبرها عن طريق التقاط بيانات التعريف مثل عناوين IP المصدر/الوجهة والمنافذ والبروتوكولات واتجاه التدفق. تمكن هذه السجلات من مراقبة سلوك الشبكة واستكشاف مشكلات الاتصال وإصلاحها وفرض نهج الأمان. تضمن خيارات التسجيل المستمرة وفي الوقت الحقيقي إمكانية مراقبة الشبكة الشاملة القابلة للتنفيذ.
لمعرفة المزيد، راجع وثائق نظرة عامة على سجلات شبكة الحاوية .
أمان شبكة الحاوية
يعد تأمين تطبيقاتك المعبأة في حاويات أمرا ضروريا في بيئات السحابة الديناميكية اليوم. توفر خدمات شبكات الحاويات المتقدمة ميزات لتعزيز أمان شبكة نظام المجموعة.
التصفية المستندة إلى FQDN
تعزيز التحكم في الخروج باستخدام Azure CNI المشغل بواسطة نهج Cilium المستندة إلى DNS. تبسيط التكوين باستخدام أسماء المجالات (FQDNs) بدلا من إدارة عناوين IP الديناميكية. لمعرفة المزيد، راجع وثائق نظرة عامة على التصفية المستندة إلى FQDN .
نهج الطبقة 7 (L7) (معاينة)
احصل على التحكم الدقيق في نسبة استخدام الشبكة على مستوى التطبيق. تنفيذ نهج تستند إلى بروتوكولات مثل HTTP وgRPC وkafka، وتأمين التطبيقات الخاصة بك مع رؤية عميقة والتحكم في الوصول الدقيق. لمعرفة المزيد، راجع وثائق نظرة عامة على نهج L7 .
التسعير
هام
خدمات شبكات الحاويات المتقدمة هي عرض مدفوع. لمزيد من المعلومات حول التسعير، راجع خدمات شبكات الحاويات المتقدمة - التسعير.
إعداد خدمات شبكات الحاويات المتقدمة على نظام المجموعة
المتطلبات الأساسية
- حساب Azure مع اشتراك نشط. في حال لم يكن لديك اشتراك، أنشئ حسابًا مجانيًا قبل البدء.
استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع بدء استخدام Azure Cloud Shell.
إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.
إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات تسجيل الدخول الأخرى، راجع المصادقة على Azure باستخدام Azure CLI.
عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات حول الملحقات، راجع استخدام الملحقات وإدارتها باستخدام Azure CLI.
يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.
- الحد الأدنى لإصدار Azure CLI المطلوب للخطوات الواردة في هذه المقالة هو 2.71.0. قم بتشغيل
az --version
للعثور على الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.
تثبيت aks-preview
امتداد Azure CLI
قم بتثبيت أو تحديث ملحق معاينة Azure CLI باستخدام az extension add
الأمر أو az extension update
.
الحد الأدنى من إصدار ملحق aks-preview Azure CLI هو 14.0.0b6
# Install the aks-preview extension
az extension add --name aks-preview
# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview
تسجيل AdvancedNetworkingL7PolicyPreview
العلامات المميزة
إشعار
ميزات أمان شبكة الحاوية المدعومة فقط على Azure CNI المدعومة من أنظمة المجموعات المستندة إلى Cilium.
تسجيل علامة الميزة AdvancedNetworkingL7PolicyPreview
باستخدام az feature register
الأمر .
az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
تحقق من التسجيل الناجح باستخدام az feature show
الأمر . يستغرق التسجيل بضع دقائق حتى يكتمل.
az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
إنشاء مجموعة موارد
وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. إنشاء مجموعة موارد باستخدام az group create
الأمر .
# Set environment variables for the resource group name and location. Make sure to replace the placeholders with your own values.
export RESOURCE_GROUP="<resource-group-name>"
export LOCATION="<azure-region>"
# Create a resource group
az group create --name $RESOURCE_GROUP --location $LOCATION
تمكين وتعطيل خدمات شبكات الحاويات المتقدمة في نظام مجموعة AKS
إنشاء نظام مجموعة AKS مع خدمات شبكات الحاويات المتقدمة
الأمر az aks create
مع علامة Advanced Container Networking Services، ، --enable-acns
ينشئ مجموعة AKS جديدة مع جميع ميزات خدمات شبكات الحاويات المتقدمة. وتشمل هذه الميزات ما يلي:
مراقبة شبكة الحاوية: توفر رؤى حول نسبة استخدام الشبكة. لمعرفة المزيد، تفضل بزيارة مراقبة شبكة الحاوية.
أمان شبكة الحاوية: يوفر ميزات أمان مثل تصفية FQDN. لمعرفة المزيد، تفضل بزيارة Container Network Security.
إشعار
تدعم المجموعات ذات مستوى بيانات Cilium إمكانية مراقبة شبكة الحاوية وأمان شبكة الحاوية بدءا من Kubernetes الإصدار 1.29.
عند تعيين المعلمة --acns-advanced-networkpolicies
إلى "L7"، يتم تمكين نهج تصفية L7 وFQDN. إذا كنت تريد فقط تمكين تصفية FQDN، فقم بتعيين المعلمة إلى "FQDN". لتعطيل كلتا الميزتين، يمكنك اتباع الإرشادات المتوفرة في تعطيل أمان شبكة الحاوية.
# Set an environment variable for the AKS cluster name. Make sure to replace the placeholder with your own value.
export CLUSTER_NAME="<aks-cluster-name>"
# Create an AKS cluster
az aks create \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--kubernetes-version 1.29 \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
تمكين خدمات شبكات الحاويات المتقدمة على نظام مجموعة موجود
الأمر az aks update
مع علامة Advanced Container Networking Services، --enable-acns
، يحدث مجموعة AKS موجودة مع جميع ميزات خدمات شبكة الحاوية المتقدمة التي تتضمن مراقبة شبكة الحاوية وميزة أمان شبكة الحاوية.
إشعار
تدعم المجموعات ذات مستوى بيانات Cilium إمكانية مراقبة شبكة الحاوية وأمان شبكة الحاوية بدءا من Kubernetes الإصدار 1.29.
عند تعيين المعلمة --acns-advanced-networkpolicies
إلى "L7"، يتم تمكين نهج تصفية L7 وFQDN. إذا كنت تريد فقط تمكين تصفية FQDN، فقم بتعيين المعلمة إلى "FQDN". لتعطيل كلتا الميزتين، يمكنك اتباع الإرشادات المتوفرة في تعطيل أمان شبكة الحاوية.
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--acns-advanced-networkpolicies <L7/FQDN>
تعطيل خدمات شبكات الحاويات المتقدمة
تقوم --disable-acns
العلامة بتعطيل جميع ميزات خدمات شبكات الحاويات المتقدمة على مجموعة AKS الحالية التي تتضمن مراقبة شبكة الحاوية وأمان شبكة الحاوية
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--disable-acns
تعطيل تحديد ميزات Advanced Container Networking Services
تعطيل مراقبة شبكة الحاوية
لتعطيل ميزات مراقبة شبكة الحاوية دون التأثير على ميزات خدمات شبكات الحاويات المتقدمة الأخرى، استخدم --enable-acns
و --disable-acns-observability
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-observability
تعطيل أمان شبكة الحاوية
لتعطيل ميزات أمان شبكة الحاوية دون التأثير على ميزات خدمات شبكات الحاويات المتقدمة الأخرى، استخدم --enable-acns
و --disable-acns-security
az aks update \
--resource-group $RESOURCE_GROUP \
--name $CLUSTER_NAME \
--enable-acns \
--disable-acns-security
الخطوات التالية
لمزيد من المعلومات حول مراقبة شبكة الحاوية وقدراتها، راجع ما هي مراقبة شبكة الحاوية؟
لمزيد من المعلومات حول أمان شبكة الحاوية وقدراته، راجع ما هو أمان شبكة الحاوية؟
Azure Kubernetes Service